DE102016210984A1 - Verfahren zum Betreiben eines Steuergeräts - Google Patents
Verfahren zum Betreiben eines Steuergeräts Download PDFInfo
- Publication number
- DE102016210984A1 DE102016210984A1 DE102016210984.7A DE102016210984A DE102016210984A1 DE 102016210984 A1 DE102016210984 A1 DE 102016210984A1 DE 102016210984 A DE102016210984 A DE 102016210984A DE 102016210984 A1 DE102016210984 A1 DE 102016210984A1
- Authority
- DE
- Germany
- Prior art keywords
- test result
- control unit
- unit
- depending
- test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
- G06F11/2236—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors
- G06F11/2242—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors in multi-processor systems, e.g. one processor becoming the test master
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/26—Functional testing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/26—Functional testing
- G06F11/27—Built-in tests
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
- B60W2050/0006—Digital architecture hierarchy
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W2050/041—Built in Test Equipment [BITE]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
Abstract
Es wird ein Verfahren zum Betreiben eines Steuergeräts (2) eines Kraftfahrzeugs vorgeschlagen. Eine Zustandsanfrage (36) wird mittels einer Watchdog-Einheit (12) an eine erste Kontrolleinheit (24), welche auf einem ersten Rechenkern (6) eines Mehrkernprozessors (4) ausgeführt wird, übermittelt. Eine Zustandsantwort (34) wird mittels der ersten Kontrolleinheit (24) in Abhängigkeit von der Zustandsanfrage (36) ermittelt. Ein Fehler (38) wird mittels der Watchdog-Einheit (12) in Abhängigkeit von der Zustandsantwort (34) ermittelt.
Description
- Stand der Technik
- Die Erfindung betrifft ein Verfahren zum Betreiben eines Steuergeräts nach dem Oberbegriff des Anspruchs 1 sowie ein Steuergerät nach einem nebengeordneten Anspruch.
- Sogenannte Watchdog-Einheiten, welche den Ablauf einer Software auf einem Mikrocontroller eines Steuergeräts für ein Kraftfahrzeug überwachen, sind allgemein bekannt. Eine Zustandsanfrage wird mittels der Watchdog-Einheit an eine erste Kontrolleinheit, welche beispielsweise auf einem ersten Rechenkern eines Mehrkernprozessors ausgeführt wird, übermittelt. Eine Zustandsantwort wird mittels der ersten Kontrolleinheit in Abhängigkeit von der Zustandsanfrage ermittelt. Ein Fehler wird mittels der Watchdog-Einheit in Abhängigkeit von der Zustandsantwort ermittelt.
- Des Weiteren ist das sogenannte 3-Ebenen-Konzept bekannt, durch welches ein sicherer Betrieb eines Steuergeräts eines Kraftfahrzeugs mit hoher Verfügbarkeit bei gleichzeitig geringem Aufwand und damit geringen Kosten ermöglicht wird.
- Aus der
DE 44 38 714 A1 ist ein Verfahren zur Steuerung einer Antriebseinheit eines Fahrzeugs bekannt. Zur Leistungssteuerung der Antriebseinheit ist nur ein einziges Rechenelement (Mikrocomputer) vorgesehen, welches sowohl die Steuerung als auch die Überwachung durchführt. - Aus der
DE 103 31 872 A1 ist ein Verfahren zur Überwachung eines technischen Systems bekannt. Ein Steuergerät-übergreifender Softwarerahmen, welcher in den Steuergeräten insbesondere in den Rechenelementen der Steuergeräte implementiert ist, führt die Überwachung und/oder Regelung der Anwendersoftware des Steuergeräts durch. - Die
DE 101 13 917 A1 offenbart ein Verfahren zur Überwachung von Daten und der Übertragung der Daten zwischen wenigstens einer ersten und einer zweiten Steuereinheit. Durch eine Komponente erfasste Daten werden von der ersten zur zweiten Steuereinheit gesichert über eine einzige Verbindung übertragen. Eine getrennte Absicherung der Daten und der Datenübertragung in der ersten und zweiten Programmebene erfolgt derart, dass Fehler der Daten und in der Datenübertragung erkannt werden. - Offenbarung der Erfindung
- Das der Erfindung zugrunde liegende Problem wird durch ein Verfahren nach dem Anspruch 1 sowie durch ein Steuergerät nach einem nebengeordneten Anspruch gelöst.
- Es wird vorgeschlagen, ein erstes Prüfergebnis mittels einer ersten Selbsttest-Einheit, welche auf dem ersten Rechenkern ausgeführt wird, zu ermitteln. Des Weiteren wird ein zweites Prüfergebnis mittels einer zweiten Selbsttest-Einheit, welche auf einem zweiten Rechenkern des Mehrkernprozessors ausgeführt wird, ermittelt. Ein drittes Prüfergebnis wird mittels einer zweiten Kontrolleinheit in Abhängigkeit von dem zweiten Prüfergebnis ermittelt. Die Zustandsantwort wird mittels der ersten Kontrolleinheit in Abhängigkeit von dem ersten Prüfergebnis und in Abhängigkeit von dem dritten Prüfergebnis ermittelt.
- Vorteilhaft wird durch die Verknüpfung des ersten und des dritten Prüfergebnisses eine über mehrere Rechenkerne und/oder Mehrkernprozessoren hinweg skalierbare Lösung geschaffen, welche gleichzeitig eine hohe Verfügbarkeit des gesamten Steuergeräts auf günstige Art und Weise gewährleistet. Insbesondere können hierdurch heterogene Architekturen von Steuergeräten mit einer hierarchischen Watchdog-Struktur versehen werden. Darüber hinaus wird eine Portierbarkeit einzelner Softwarekomponenten der Steuergeräte vereinfacht. Insbesondere können durch das vorgeschlagene Verfahren bzw. Steuergerät die erhöhten Anforderungen in Bezug auf Rechenleistung und in Bezug auf Sicherheit erfüllt werden.
- Darüber hinaus erfolgt mittels der zweiten Kontrolleinheit eine Entkopplung der Verarbeitung des zweiten Prüfergebnisses von der Ermittlung der Zustandsantwort für die Watchdog-Einheit. Hierdurch wird auch eine zeitliche Entkopplung der Zeitdomäne zur Kommunikation zwischen der Watchdog-Einheit und der ersten Kontrolleinheit, der Zeitdomäne zur Kommunikation zwischen der zweiten Kontrolleinheit und der zweiten Selbsttest-Einheit und der Zeitdomäne ausgeführter Tasks ermöglicht.
- In einer vorteilhaften Ausführungsform wird ein viertes Prüfergebnis mittels einer dritten Selbsttest-Einheit, welche auf einem dritten Rechenkern des Mehrkernprozessors ausgeführt wird, ermittelt. Das dritte Prüfergebnis wird mittels der zweiten Kontrolleinheit in Abhängigkeit von dem zweiten Prüfergebnis und in Abhängigkeit von dem vierten Prüfergebnis ermittelt.
- In einer vorteilhaften Ausführungsform wird das zweite Prüfergebnis mit einem zweiten Soll-Prüfergebnis mittels der zweiten Kontrolleinheit verglichen. Das vierte Prüfergebnis wird mit einem vierten Soll-Prüfergebnis mittels der zweiten Kontrolleinheit verglichen. Ein weiterer Fehler wird ermittelt, wenn das zweite und/oder vierte Prüfergebnis von dem jeweiligen Soll-Ergebnis abweicht. Eine Fehlertoleranzzeit (FTTI: Failure Tolerance Time Interval) von unter 50 ms sowie eine schnelle Abschaltzeit können auf diese Art und Weise realisiert werden.
- In einer vorteilhaften Weiterbildung wird der weitere Fehler mittels der zweiten Kontrolleinheit ermittelt, wenn nach Ablauf einer Zeitdauer das zweite oder vierte Prüfergebnis nicht vorliegt. Vorteilhaft realisiert damit auch die zweite Kontrolleinheit eine Timeout-Watchdog-Funktion.
- In einer vorteilhaften Ausführungsform wird der erste Rechenkern mittels eines zugeordneten Lockstep-Rechenkerns gemäß einem Lockstep-Verfahren betrieben. Damit wird die funktionale Sicherheit erhöht.
- In einer vorteilhaften Ausführungsform wird die zweite Kontrolleinheit auf dem ersten Rechenkern ausgeführt, eine Programmablaufkontrolle wird in Bezug auf die Ausführung der zweiten Kontrolleinheit ausgeführt, und das erste Prüfergebnis umfasst ein Ergebnis der Programmablaufkontrolle. Vorteilhaft wird auf diese Art und Weise die zweite Kontrolleinheit mittels der Watchdog-Einheit überwacht.
- In einer vorteilhaften Ausführungsform wird eine weitere Zustandsanfrage mittels einer weiteren Watchdog-Einheit, welche auf dem zweiten Prozessorkern ausgeführt wird, an eine sekundäre erste Kontrolleinheit, welche auf einem sekundären ersten Rechenkern eines sekundären Mehrkernprozessors ausgeführt wird, übermittelt. Eine weitere Zustandsantwort wird mittels der sekundären ersten Kontrolleinheit in Abhängigkeit von der weiteren Zustandsanfrage ermittelt. Ein weiterer Fehler wird mittels der weiteren Watchdog-Einheit in Abhängigkeit von der weiteren Zustandsantwort ermittelt. Ein sekundäres erstes Prüfergebnis wird mittels einer sekundären ersten Selbsttest-Einheit, welche auf dem sekundären ersten Rechenkern ausgeführt wird, ermittelt. Ein sekundäres zweites Prüfergebnis wird mittels einer sekundären zweiten Selbsttest-Einheit, welche auf einem sekundären zweiten Rechenkern des sekundären Mehrkernprozessors ausgeführt wird, ermittelt. Ein sekundäres drittes Prüfergebnis wird mittels einer sekundären zweiten Kontrolleinheit in Abhängigkeit von dem sekundären zweiten Prüfergebnis ermittelt. Die sekundäre Zustandsantwort wird mittels der sekundären ersten Kontrolleinheit in Abhängigkeit von dem sekundären ersten Prüfergebnis und in Abhängigkeit von dem sekundären dritten Prüfergebnis ermittelt. Vorteilhaft kann durch diese Ausführungsform eine weitergehende Skalierung in Bezug auf den sekundären Mehrkernprozessor erreicht werden.
- In einer vorteilhaften Weiterbildung wird der zweite Rechenkern des Mehrkernprozessors mittels eines zugeordneten Lockstep-Rechenkerns gemäß des Lockstep-Verfahrens betrieben. Der sekundäre erste Rechenkern wird mittels eines zugeordneten Lockstep-Rechenkerns gemäß dem Lockstep-Verfahren betrieben. Diese Weiterbildung erhöht die funktionale Sicherheit.
- In einer vorteilhaften Ausführungsform ist die Watchdog-Einheit als ein Hardware-Baustein ausgebildet. Hierdurch kann ein kostengünstiges Steuergerät geschaffen werden.
- Vorteilhafte Ausführungsformen und Weiterbildungen der Erfindung sind in der nachfolgenden Beschreibung der Figuren erläutert. Für funktionsäquivalente Größen und Merkmale werden unabhängig von deren Ausführungsform teilweise die gleichen Bezugszeichen verwendet. In der Zeichnung zeigen:
-
1 –3 jeweils ein schematisches Blockdiagramm eines Steuergeräts eines Kraftfahrzeugs; und -
4 einen schematischen Ablauf einer Fehlererkennung. -
1 zeigt ein schematisches Blockdiagramm eines Steuergeräts2 . Ein Mehrkernprozessor4 umfasst einen ersten Rechenkern6 , einen zweiten Rechenkern8 und einen dritten Rechenkern10 . Dem Mehrkernprozessor4 ist eine außerhalb des Mehrkernprozessors4 angeordnete Watchdog-Einheit12 zugeordnet. Des Weiteren umfasst der Mehrkernprozessor4 einen Lockstep-Rechenkern14 , welcher dazu ausgebildet ist, die dem ersten Rechenkern6 zugeführten Eingangsdaten bzw. -instruktionen in redundanter Form gemäß eines Lockstep-Verfahrens abzuarbeiten. - In einer Ausführungsform arbeitet der erste Rechenkern
6 nicht gemeinsam mit einem Lockstep-Rechenkern gemäß dem Lockstep-Verfahren. Hierbei umfasst die Selbsttest-Einheit16 neben einer Programmablaufkontrolle auch einen zusätzlichen Instruktionstest in Hard- oder Software. - Auf den Rechenkernen
6 ,8 und10 werden jeweilige Tasks T_6, T_8, T_10 ausgeführt. Bei den Tasks T handelt es sich unter anderem um Prozesse, die einer Steuerebene des Steuergeräts zugeordnet sind, wobei die jeweiligen Tasks T beispielsweise Berechnungen durchführen, die zu einer Steuerung bzw. Signalisierung von außerhalb des Steuergeräts2 angeordneten Entitäten wie beispielsweise Antriebseinheiten, Anzeigevorrichtungen oder weiteren Steuergeräten dienen. - Auf dem Rechenkern
6 wird eine erste Selbsttest-Einheit16 ausgeführt. Auf dem Rechenkern8 wird eine zweite Selbsttest-Einheit18 ausgeführt. Auf dem Rechenkern10 wird eine dritte Selbsttest-Einheit20 ausgeführt. Die jeweiligen Selbsttest-Einheiten16 ,18 ,20 führen jeweilige Selbstprüfungen durch. Diese Selbstprüfungen können beispielsweise im Falle eines zugeordneten Lockstep-Rechenkerns14 sich auf eine Programmablaufkontrolle der dort ablaufenden Tasks T beschränken. Im Falle eines nicht im Lockstep-Verfahren arbeitenden Rechenkerns8 umfasst die jeweilige Selbsttest-Einheit18 neben einer Programmablaufkontrolle auch einen zusätzlichen Instruktionstest, welcher in Hard- oder Software ausgeführt sein kann. Selbstverständlich sind weitere Selbsttests denkbar, welche beispielsweise Speichertests oder Ähnliches umfassen. - Die erste Selbsttest-Einheit
16 erzeugt in Abhängigkeit von einer durchgeführten Selbstprüfung ein erstes Prüfergebnis26 . Die zweite Selbsttest-Einheit18 erzeugt in Abhängigkeit von einer durchgeführten Selbstprüfung ein zweites Prüfergebnis28 . Die dritte Selbsttest-Einheit20 erzeugt Abhängigkeit von einer durchgeführten Selbstprüfung ein viertes Prüfergebnis30 . Die beiden Prüfergebnisse28 und30 werden einer zweiten Kontrolleinheit22 zugeführt, welche die beiden Prüfergebnisse28 und30 zu einem dritten Prüfergebnis32 zusammenfasst. - Das dritte Prüfergebnis
32 wird gemeinsam mit dem ersten Prüfergebnis26 einer ersten Kontrolleinheit24 zugeführt. Die erste Kontrolleinheit24 erzeugt eine Zustandsantwort34 in Abhängigkeit von dem ersten Prüfergebnis26 und dem dritten Prüfergebnis32 . Die Zustandsantwort34 wird von der ersten Kontrolleinheit24 auf eine empfangene Zustandsanfrage36 hin, welche von der Watchdog-Einheit12 erzeugt wird, ermittelt. Die Watchdog-Einheit12 vergleicht die empfangene Zustandsantwort34 mit einer Soll-Zustandsantwort. Stimmt die Zustandsantwort34 nicht mit der Soll-Zustandsantwort überein, so ermittelt die Watchdog-Einheit12 einen Fehler38 . In Abhängigkeit von dem Fehler38 kann eine nicht gezeigte Fehlerbehandlungseinheit den Mehrkernprozessor4 abschalten, neu starten oder einen Interrupt auslösen. Des Weiteren ermittelt die Watchdog-Einheit12 den Fehler38 , wenn nicht innerhalb eines vordefinierten Zeitfensters eine Zustandsantwort34 vorliegt. - Insbesondere wird mittels der ersten Selbsttest-Einheit
16 eine Programmablaufkontrolle in Bezug auf die Ausführung der zweiten Kontrolleinheit22 ausgeführt. Das erste Prüfergebnis26 umfasst damit ein Ergebnis der Programmablaufkontrolle. Bevorzugt ermittelt die erste Kontrolleinheit24 die Zustandsantwort34 durch eine Exklusiv-Oder-Verknüpfung (XOR) der zugeführten Prüfergebnisse wie beispielsweise der Prüfergebnisse26 und32 . In nicht gezeigter Form können der ersten Kontrolleinheit24 auch das zweite und/oder vierte Prüfergebnisse28 ,30 zugeführt werden. -
2 zeigt eine weitere Ausführungsform des Steuergeräts2 in einem schematischen Blockdiagramm. Die Watchdog-Einheit12 umfasst eine Einheit40 zur Erzeugung der Zustandsanfrage36 , eine Einheit42 zum Vergleich der empfangenen Zustandsantwort34 mit der Soll-Zustandsantwort sowie eine Einheit44 zur Überwachung der Zeitdauer, zu deren Ende die Zustandsantwort34 vorliegen muss, sollte kein Fehler ausgelöst werden. Die Watchdog-Einheit12 ist bevorzugt als ein Hardware-Baustein46 beispielsweise als Teil eines ASIC (Application Specific Integrated Circuit) ausgeführt. Die Zustandsanfrage36 und die Zustandsantwort34 werden zwischen dem Mehrkernprozessor4 und dem Hardware-Baustein46 mittels eines Bussystems48 , beispielsweise mittels eines SPI-Bussystems (SPI: Serial Peripheral Interface), übermittelt. - Der Mehrkernprozessor
4 kann weitere Rechenkerne wie beispielsweise den Rechenkern50 , welcher eine weitere Selbsttest-Einheit52 umfasst, umfassen. Vorliegend wird der zweite Rechenkern8 mittels eines zugeordneten Lockstep-Rechenkern54 gemäß dem Lockstep-Verfahren betrieben. Die Selbsttest-Einheiten16 ,18 ,20 und52 übermitteln die jeweiligen Prüfergebnisse26 ,28 ,30 und55 mittels eines Datenbusses56 in einen ersten Speicherbereich58 eines Speichers60 des Mehrkernprozessors4 . Die zweite Kontrolleinheit22 greift lesend auf den ersten Speicherbereich58 zu. Die zweite Kontrolleinheit22 ermittelt das dritte Prüfergebnis32 und schreibt das dritte Prüfergebnis32 mittels des Datenbusses56 in einen zweiten Speicherbereich62 des Speichers60 . - Die erste Kontrolleinheit
24 umfasst eine Einheit64 zum Empfang der Zustandsanfrage36 , eine Einheit66 zu Ermittlung der Zustandsanfrage34 sowie eine Einheit68 zur Überwachung der Watchdog-Einheit12 . Die zweite Kontrolleinheit22 ermittelt einen weiteren Fehler70 , welcher einer Fehlerbehandlungseinheit72 zugeführt wird. Der Fehler38 wird auch der Fehlerbehandlungseinheit72 zugeführt. Die Fehlerbehandlungseinheit72 kann in Abhängigkeit von dem weiteren Fehler70 und in Abhängigkeit von dem Fehler38 dem Mehrkernprozessor4 zugehörige Endstufen abschalten, einen Reset des Mehrkernprozessors4 initiieren sowie einen Interrupt für den Mehrkernprozessor4 auslösen. Der weitere Fehler70 wird von der zweiten Kontrolleinheit22 ermittelt, wenn eines der in dem ersten Speicherbereich58 abgelegten Prüfergebnisse26 ,28 ,30 oder55 von einem entsprechenden Soll-Prüfergebnis abweicht oder eine Zeitdauer zur Verfügung Stellung des jeweiligen Prüfergebnisses26 ,28 ,30 oder55 abgelaufen ist. -
3 zeigt eine weitere Ausführungsform des Steuergeräts2 in einem schematischen Blockdiagramm. Im Unterschied zu2 umfasst das Steuergerät2 einen sekundären Mehrkernprozessor4B , welcher beispielsweise analog zu dem Mehrkernprozessor4 aufgebaut und konfiguriert sein kann. Selbstverständlich kann der sekundären Mehrkernprozessor4B in seiner Konfiguration auch abweichen. Auf dem zweiten Prozessorkern8 wird eine weitere Watchdog-Einheit12B als Softwaremodul ausgeführt. Die weitere Watchdog-Einheit12B umfasst im Wesentlichen dieselben Funktionen wie die Watchdog-Einheit12 , welche als Hardware-Baustein46 ausgeführt ist. Die weitere Watchdog-Einheit12B erzeugt eine weitere Zustandsanfrage36B , welche mittels eines Datenbus74 , welcher beispielsweise als UART-Bus (UART: Universal Asynchronous Receiver Transmitter) ausgeführt sein kann, an eine sekundäre erste Kontrolleinheit24B , welche auf einem sekundären ersten Rechenkern6B ausgeführt wird, übermittelt wird. Eine weitere Zustandsantwort34B wird mittels der sekundären ersten Kontrolleinheit24B in Abhängigkeit von der weiteren Zustandsanfrage36B ermittelt. Die weitere Watchdog-Einheit12B ermittelt in Abhängigkeit von der weiteren Zustandsantwort34B einen weiteren Fehler38B . Der Fehler38B wird über einen Hardware-Pin der sekundären Fehlerbehandlungseinheit72B zugeführt. - Eine sekundäre erste Selbsttest-Einheit
22B ermittelt ein sekundäres erstes Prüfergebnis16B . Ein sekundäres zweites Prüfergebnis28B wird mittels einer sekundären zweiten Selbsttest-Einheit18 übermittelt. Ein sekundäres viertes Prüfergebnis30B wird mittels einer sekundären dritten Selbsttest-Einheit20B ermittelt. Die sekundäre zweite Kontrolleinheit22B ermittelt in Abhängigkeit von dem sekundären zweiten und sekundären vierten Prüfergebnis28B ,30B ein sekundäres drittes Prüfergebnis32B . Die sekundäre Zustandsantwort34B wird mittels der sekundären ersten Kontrolleinheit24B in Abhängigkeit von dem sekundären ersten Prüfergebnis26B und in Abhängigkeit von dem sekundären dritten Prüfergebnis32B ermittelt. Der zweite Rechenkern8 des Mehrkernprozessors4 wird mittels des zugeordneten Lockstep-Rechenkerns54 gemäß dem Lockstep-Verfahren betrieben. Der sekundäre erste Rechenkern6B des sekundären Mehrkernprozessors4B wird mittels eines zugeordneten Lockstep-Rechenkerns14B gemäß dem Lockstep-Verfahren betrieben. - Selbstverständlich sind Erweiterungen des in
3 gezeigten Prinzips denkbar. So können beispielsweise die Rechenkerne10 und50 , soweit sie mit einem zugeordneten Lockstep-Rechenkern in einem Lockstep-Verfahren arbeiten, weitere als Softwaremodule ausgeführte Watchdog-Einheiten analog zu der weiteren Watchdog-Einheit12B umfassen, um weitere Mehrkernprozessoren in das hier erläuterte Watchdog-Verfahren einzubinden. Selbstverständlich kann auch der sekundäre zweite Rechenkern8B eine weitere sekundäre Watchdog-Einheit zur Ausführung umfassen. Es wird explizit darauf hingewiesen, dass die Wortwahl "sekundär" in Bezug auf den sekundären Mehrkernprozessor4B und dessen Komponenten in erster Linie zur sprachlichen Unterscheidung dient. -
4 zeigt in schematischer Form einen Ablauf einer Fehlererkennung. Beispielhaft ist ein zeitlicher Ablauf von Tasks T8_1, T8_2 und T8_3 auf dem zweiten Rechenkern8 gezeigt. Die dem zweiten Rechenkern8 zugeordnete Selbsttest-Einheit18 führt beispielsweise eine Programmablaufkontrolle in Bezug auf die einzelnen Tasks durch und erzeugt eine entsprechende Signatur76_1 76_2 und76_3 . Beim Ablauf der Tasks T_3 geschieht ein Fehler78 , was sich in der Signatur76_3 niederschlägt. Die Signaturen76 werden in dem ersten Speicherbereich58 abgelegt. Die Signaturen76 entsprechen dem zweiten Prüfergebnis28 . - Die zweite Kontrolleinheit
22 führt Überprüfungen der Signaturen76 mit erwarteten Soll-Signaturen78 durch. Die ermittelte Signatur76_3 weicht von der Soll-Signatur78_3 ab, weshalb die zweite Kontrolleinheit22 den weiteren Fehler70 ermittelt und diesen weiteren Fehler70 an die Fehlerbehandlungseinheit72 übermittelt. - Stimmen bei dem durch die zweite Kontrolleinheit
22 durchgeführten Vergleich die Signatur76 und die Soll-Signatur78 überein, so wird eine Sequenznummer80 inkrementiert. Bei mangelnder Übereinstimmung der Signatur76_3 und der Soll-Signatur78_3 wird die Sequenznummer80_2 nicht inkrementiert und weist im Folgezustand den gleichen Wert auf. Der Zähler80 entspricht dem dritten Prüfergebnis32 , welches in dem zweiten Speicherbereich62 abgelegt wird. Selbstverständlich kann alternativ zu den vorgesehenen Sequenznummern80 auch eine andere Art der Verknüpfung der Signaturen76 vorgesehen werden. Beispielsweise können die Signaturen76 , welche der zweiten Kontrolleinheit22 zugeführt werden, mittels einer Exklusiv-Oder-Verknüpfung zu dem dritten Prüfergebnis32 verknüpft werden. - Die erste Kontrolleinheit
24 führt einen Vergleich der Sequenznummer80 und einer Soll-Sequenznummer82 durch. Wird die Soll-Sequenznummer82_3 erwartet, allerdings eine nicht inkrementierte Sequenznummer82_2 gelesen, so wird in einen Fehlerzustand84 gewechselt. Die Einheit64 der ersten Kontrolleinheit24 empfängt die Zustandsanfrage36_2 . Anhand des festgestellten Fehlerzustandes84 erzeugt die Einheit66 der ersten Kontrolleinheit24 eine Zustandsantwort34_2 , welche einen Fehlerzustand des Mehrkernprozessors4 an die Watchdog-Einheit12 anzeigt. Zusätzlich kann die Zustandsantwort34_2 an die Fehlerbehandlungseinheit72 übergeben werden. - Jeder der Rechenkerne
6 ,8 und10 schreibt in einem regelmäßigen Zeitabstand T1 eine Signatur76 bzw. ein jeweiliges Prüfergebnis26 –30 in den ersten Speicherbereich58 . Die zweite Kontrolleinheit22 führt ihre Überprüfung mit einem Zeitabstand T2 durch, welcher kleiner als oder gleich dem Zeitabstand T1 sein kann. Die erste Kontrolleinheit24 sendet in einem regelmäßigen Zeitabstand T3, welcher größer als der Zeitabstand T2 ist, die Zustandsantwort34 an die zugeordnete Watchdog-Einheit12 . Des Weiteren ist der Zeitabstand T2 kleiner als ein festgelegtes Fehlertoleranzintervall (FTTI). Selbstverständlich sind auch andere Relationen der Zeitabstände T1, T2 und T3 zueinander möglich. Die zeitliche Entkopplung der Zeitabstände wird durch das Vorsehen der Kontrolleinheiten22 und24 erreicht. - ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Patentliteratur
-
- DE 4438714 A1 [0004]
- DE 10331872 A1 [0005]
- DE 10113917 A1 [0006]
Claims (12)
- Ein Verfahren zum Betreiben eines Steuergeräts (
2 ) eines Kraftfahrzeugs, – wobei eine Zustandsanfrage (36 ) mittels einer Watchdog-Einheit (12 ) an eine erste Kontrolleinheit (24 ), welche auf einem ersten Rechenkern (6 ) eines Mehrkernprozessors (4 ) ausgeführt wird, übermittelt wird, – wobei eine Zustandsantwort (34 ) mittels der ersten Kontrolleinheit (24 ) in Abhängigkeit von der Zustandsanfrage (36 ) ermittelt wird, und – wobei ein Fehler (38 ) mittels der Watchdog-Einheit (12 ) in Abhängigkeit von der Zustandsantwort (34 ) ermittelt wird, dadurch gekennzeichnet, – dass ein erstes Prüfergebnis (26 ) mittels einer ersten Selbsttest-Einheit (16 ), welche auf dem ersten Rechenkern (6 ) ausgeführt wird, ermittelt wird, – dass ein zweites Prüfergebnis (28 ) mittels einer zweiten Selbsttest-Einheit (18 ), welche auf einem zweiten Rechenkern (8 ) des Mehrkernprozessors (4 ) ausgeführt wird, ermittelt wird, – dass ein drittes Prüfergebnis (32 ) mittels einer zweiten Kontrolleinheit (22 ) in Abhängigkeit von dem zweiten Prüfergebnis (28 ) ermittelt wird, und – dass die Zustandsantwort (34 ) mittels der ersten Kontrolleinheit (24 ) in Abhängigkeit von dem ersten Prüfergebnis (26 ) und in Abhängigkeit von dem dritten Prüfergebnis (32 ) ermittelt wird. - Das Verfahren nach dem Anspruch 1, – wobei ein viertes Prüfergebnis (
30 ) mittels einer dritten Selbsttest-Einheit (20 ), welche auf einem dritten Rechenkern (10 ) des Mehrkernprozessors (4 ) ausgeführt wird, ermittelt wird, und – wobei das drittes Prüfergebnis (32 ) mittels der zweiten Kontrolleinheit (22 ) in Abhängigkeit von dem zweiten Prüfergebnis (28 ) und in Abhängigkeit von dem vierten Prüfergebnis (30 ) ermittelt wird. - Das Verfahren nach Anspruch 1 oder 2, – wobei das zweite Prüfergebnis (
28 ) mit einem zweiten Soll-Prüfergebnis mittels der zweiten Kontrolleinheit (22 ) verglichen wird, und/oder – wobei das vierte Prüfergebnis (30 ) mit einem vierten Soll-Prüfergebnis mittels der zweiten Kontrolleinheit (22 ) verglichen wird, und/oder – wobei ein weitere Fehler (70 ) ermittelt wird, wenn das zweite und/oder vierte Prüfergebnis (28 ,30 ) von dem jeweiligen zweiten und/oder dritten Soll-Ergebnis abweicht. - Das Verfahren nach Anspruch 3, – wobei der weitere Fehler (
70 ) mittels der zweiten Kontrolleinheit (22 ) ermittelt wird, wenn nach Ablauf einer Zeitdauer das zweite oder vierte Prüfergebnis (28 ,30 ) nicht vorliegt. - Das Verfahren nach einem der vorstehenden Ansprüche, – wobei der erste Rechenkern (
6 ) mittels eines zugeordneten Lockstep-Rechenkerns (14 ) gemäß einem Lockstep-Verfahren betrieben wird. - Das Verfahren nach einem der vorstehenden Ansprüche, – wobei die zweite Kontrolleinheit (
22 ) auf dem ersten Rechenkern (6 ) ausgeführt wird, – wobei eine Programmablaufkontrolle in Bezug auf die Ausführung der zweiten Kontrolleinheit (22 ) ausgeführt wird, und – wobei das erste Prüfergebnis (26 ) ein Ergebnis der Programmablaufkontrolle umfasst. - Das Verfahren nach einem der vorstehenden Ansprüche, – wobei eine weitere Zustandsanfrage (
36B ) mittels einer weiteren Watchdog-Einheit (12B ), welche auf dem zweiten Prozessorkern (8 ) ausgeführt wird, an eine sekundäre erste Kontrolleinheit (24B ), welche auf einem sekundären ersten Rechenkern (6B ) eines sekundären Mehrkernprozessors (4B ) ausgeführt wird, übermittelt wird, – wobei eine weitere Zustandsantwort (34B ) mittels der sekundären ersten Kontrolleinheit (24B ) in Abhängigkeit von der weiteren Zustandsanfrage (36B ) ermittelt wird, – wobei ein weiterer Fehler (38B ) mittels der weiteren Watchdog-Einheit (12B ) in Abhängigkeit von der weiteren Zustandsantwort (34B ) ermittelt wird, – wobei ein sekundäres erstes Prüfergebnis (26B ) mittels einer sekundären ersten Selbsttest-Einheit (16B ), welche auf dem sekundären ersten Rechenkern (6B ) ausgeführt wird, ermittelt wird, – wobei ein sekundäres zweites Prüfergebnis (28B ) mittels einer sekundären zweiten Selbsttest-Einheit (18B ), welche auf einem sekundären zweiten Rechenkern (8B ) des sekundären Mehrkernprozessors (4B ) ausgeführt wird, ermittelt wird, – wobei ein sekundäres drittes Prüfergebnis (32B ) mittels einer sekundären zweiten Kontrolleinheit (22B ) in Abhängigkeit von dem sekundären zweiten Prüfergebnis (28B ), und – wobei die sekundäre Zustandsantwort (34B ) mittels der sekundären ersten Kontrolleinheit (24B ) in Abhängigkeit von dem sekundären ersten Prüfergebnis (26B ) und in Abhängigkeit von dem sekundären dritten Prüfergebnis (32B ) ermittelt wird. - Das Verfahren nach dem Anspruch 7, – wobei ein sekundäres viertes Prüfergebnis (
30B ) mittels einer sekundären dritten Selbsttest-Einheit (20B ), welche auf einem sekundären dritten Rechenkern (10B ) des sekundären Mehrkernprozessors (4B ) ausgeführt wird, ermittelt wird, – wobei ein sekundäres drittes Prüfergebnis (32B ) mittels einer sekundären zweiten Kontrolleinheit (22B ) in Abhängigkeit von dem sekundären zweiten Prüfergebnis (28B ) und in Abhängigkeit von dem sekundären vierten Prüfergebnis (30B ) ermittelt wird. - Das Verfahren nach dem Anspruch 8 oder 9, – wobei der zweite Rechenkern (
8 ) des Mehrkernprozessors (4 ) mittels eines zugeordneten Lockstep-Rechenkerns (54 ) gemäß dem Lockstep-Verfahren betrieben wird, und – wobei der sekundäre erste Rechenkern (6B ) mittels eines zugeordneten Lockstep-Rechenkerns (14B ) gemäß dem Lockstep-Verfahren betrieben wird. - Das Verfahren nach einem der vorstehenden Ansprüche, wobei die Watchdog-Einheit (
12 ) als ein Hardware-Baustein (46 ) ausgebildet ist. - Ein Steuergerät (
22 ) für ein Kraftfahrzeug, – wobei eine Zustandsanfrage (36 ) mittels einer Watchdog-Einheit (12 ) an eine erste Kontrolleinheit (24 ), welche auf einem ersten Rechenkern (6 ) eines Mehrkernprozessors (4 ) ausführbar ist, übermittelbar ist, – wobei eine Zustandsantwort (34 ) mittels der ersten Kontrolleinheit (6 ) in Abhängigkeit von der Zustandsanfrage (36 ) ermittelbar ist, und – wobei ein Fehler (38 ) mittels der Watchdog-Einheit (12 ) in Abhängigkeit von der Zustandsantwort (34 ) ermittelbar ist, dadurch gekennzeichnet, – dass ein erstes Prüfergebnis (26 ) mittels einer ersten Selbsttest-Einheit (16 ), welche auf dem ersten Rechenkern (6 ) ausführbar ist, übermittelbar ist, – dass ein zweites Prüfergebnis (28 ) mittels einer zweiten Selbsttest-Einheit (18 ), welche auf einem zweiten Rechenkern (8 ) des Mehrkernprozessors (4 ) ausführbar ist, übermittelbar ist, – dass ein drittes Prüfergebnis (32 ) mittels einer zweiten Kontrolleinheit (22 ) in Abhängigkeit von dem zweiten Prüfergebnis (28 ) ermittelbar ist, und – dass die Zustandsantwort (34 ) mittels der ersten Kontrolleinheit (24 ) in Abhängigkeit von dem ersten Prüfergebnis (26 ) und in Abhängigkeit von dem dritten Prüfergebnis (32 ) ermittelbar ist. - Das Steuergerät (
2 ) nach dem vorstehenden Anspruch, welches zur Ausführung des Verfahrens nach einem der Ansprüche 2 bis 10 ausgebildet ist.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016210984.7A DE102016210984A1 (de) | 2016-06-20 | 2016-06-20 | Verfahren zum Betreiben eines Steuergeräts |
US15/617,610 US10384689B2 (en) | 2016-06-20 | 2017-06-08 | Method for operating a control unit |
CN201710464055.1A CN107526290B (zh) | 2016-06-20 | 2017-06-19 | 用于运行控制器的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016210984.7A DE102016210984A1 (de) | 2016-06-20 | 2016-06-20 | Verfahren zum Betreiben eines Steuergeräts |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102016210984A1 true DE102016210984A1 (de) | 2017-12-21 |
Family
ID=60481435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102016210984.7A Pending DE102016210984A1 (de) | 2016-06-20 | 2016-06-20 | Verfahren zum Betreiben eines Steuergeräts |
Country Status (3)
Country | Link |
---|---|
US (1) | US10384689B2 (de) |
CN (1) | CN107526290B (de) |
DE (1) | DE102016210984A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021175385A1 (de) * | 2020-03-06 | 2021-09-10 | Continental Teves Ag & Co. Ohg | Bremsanlage mit redundanter parkbremsenansteuerung |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3085596B1 (de) * | 2015-04-20 | 2017-11-29 | Autoliv Development AB | Elektronisches fahrzeugsicherheitssteuerungssystem |
DE102016220197A1 (de) * | 2016-10-17 | 2018-04-19 | Robert Bosch Gmbh | Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug |
US10838835B2 (en) * | 2017-12-29 | 2020-11-17 | Intel Corporation | Scheduling periodic CPU core diagnostics within an operating system during run-time |
US20210070321A1 (en) * | 2018-03-13 | 2021-03-11 | Hitachi Automotive Systems, Ltd. | Abnormality diagnosis system and abnormality diagnosis method |
IT201900018362A1 (it) * | 2019-10-10 | 2021-04-10 | Texa Spa | Metodo e sistema di controllo di almeno due motori elettrici di trazione di un veicolo |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4438714A1 (de) | 1994-10-29 | 1996-05-02 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs |
DE10113917A1 (de) | 2001-03-21 | 2002-09-26 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Überwachung von Steuereinheiten |
DE10331872A1 (de) | 2003-07-14 | 2005-02-10 | Robert Bosch Gmbh | Verfahren zur Überwachung eines technischen Systems |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3434405B2 (ja) * | 1996-03-19 | 2003-08-11 | 富士通株式会社 | 通信制御装置及び通信制御方法並びに中間通信制御ユニット |
US6523126B1 (en) * | 1999-10-18 | 2003-02-18 | Intel Corporation | Watchdog timer that is disabled upon receiving sleep status signal from monitored device wherein monitored device is not responsive to time-out of watchdog timer |
US7526422B1 (en) * | 2001-11-13 | 2009-04-28 | Cypress Semiconductor Corporation | System and a method for checking lock-step consistency between an in circuit emulation and a microcontroller |
JP2004322740A (ja) * | 2003-04-22 | 2004-11-18 | Toyota Motor Corp | 車両用制御装置の故障診断装置 |
DE102005025520A1 (de) * | 2005-06-03 | 2006-12-07 | Robert Bosch Gmbh | Verfahren zur modellbasierten Diagnose eines mechatronischen Systems |
US7796589B2 (en) * | 2005-08-01 | 2010-09-14 | American Power Conversion Corporation | Communication protocol |
US7941699B2 (en) * | 2008-03-24 | 2011-05-10 | Intel Corporation | Determining a set of processor cores to boot |
KR101039926B1 (ko) * | 2009-04-21 | 2011-06-09 | 기아자동차주식회사 | 차량용 자기진단 제어 시스템 |
US8458533B2 (en) * | 2010-11-03 | 2013-06-04 | Texas Instruments Incorporated | Watch dog timer and counter with multiple timeout periods |
JP5527270B2 (ja) * | 2011-04-12 | 2014-06-18 | 株式会社デンソー | 車載用電子制御装置 |
JP5722150B2 (ja) * | 2011-07-21 | 2015-05-20 | ルネサスエレクトロニクス株式会社 | マイクロコントローラ |
DE102011121441A1 (de) * | 2011-12-16 | 2013-06-20 | GM Global Technology Operations LLC (n. d. Gesetzen des Staates Delaware) | Verfahren zum Betreiben eines Fehlerdiagnosesystems eines Fahrzeugs und Fahrzeug |
CN102591330B (zh) * | 2012-03-09 | 2013-12-11 | 北京信息科技大学 | 一种工程车辆电控***故障检测装置及其检测方法 |
US9201719B2 (en) * | 2012-03-16 | 2015-12-01 | Infineon Technologies Ag | Method and system for timeout monitoring |
DE102012015272A1 (de) * | 2012-07-31 | 2014-02-06 | Audi Ag | Verfahren zur effizienten Absicherung sicherheitskritischer Funktionen eines Steuergeräts und Steuergerät |
WO2014203028A1 (en) * | 2013-06-17 | 2014-12-24 | Freescale Semiconductor, Inc. | Diagnostic apparatus, control unit, integrated circuit, vehicle and method of recording diagnostic data |
CN103823362A (zh) * | 2014-02-17 | 2014-05-28 | 南京航空航天大学 | 基于仲裁机制的相似双余度飞控计算机及冗余控制方法 |
US9870004B2 (en) * | 2014-05-21 | 2018-01-16 | Bell Helicopter Textron Inc. | High authority stability and control augmentation system |
DE102014220781A1 (de) * | 2014-10-14 | 2016-04-14 | Robert Bosch Gmbh | Ausfallsichere E/E-Architektur für automatisiertes Fahren |
EP3085596B1 (de) * | 2015-04-20 | 2017-11-29 | Autoliv Development AB | Elektronisches fahrzeugsicherheitssteuerungssystem |
CN105257484B (zh) * | 2015-11-05 | 2018-11-13 | 北京天诚同创电气有限公司 | 风力发电机组的刹车检测方法、装置及*** |
US10445169B2 (en) * | 2016-04-08 | 2019-10-15 | Nxp Usa, Inc. | Temporal relationship extension of state machine observer |
-
2016
- 2016-06-20 DE DE102016210984.7A patent/DE102016210984A1/de active Pending
-
2017
- 2017-06-08 US US15/617,610 patent/US10384689B2/en active Active
- 2017-06-19 CN CN201710464055.1A patent/CN107526290B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4438714A1 (de) | 1994-10-29 | 1996-05-02 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs |
DE10113917A1 (de) | 2001-03-21 | 2002-09-26 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Überwachung von Steuereinheiten |
DE10331872A1 (de) | 2003-07-14 | 2005-02-10 | Robert Bosch Gmbh | Verfahren zur Überwachung eines technischen Systems |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021175385A1 (de) * | 2020-03-06 | 2021-09-10 | Continental Teves Ag & Co. Ohg | Bremsanlage mit redundanter parkbremsenansteuerung |
Also Published As
Publication number | Publication date |
---|---|
CN107526290A (zh) | 2017-12-29 |
US20170361852A1 (en) | 2017-12-21 |
CN107526290B (zh) | 2022-05-31 |
US10384689B2 (en) | 2019-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102016210984A1 (de) | Verfahren zum Betreiben eines Steuergeräts | |
EP1337921A1 (de) | Vorrichtung zur überwachung eines prozessors | |
DE102007045398A1 (de) | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen | |
EP3709166B1 (de) | Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten | |
EP3571593A1 (de) | Redundante prozessorarchitektur | |
WO2018233934A1 (de) | Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls | |
DE102009054637A1 (de) | Verfahren zum Betreiben einer Recheneinheit | |
DE102008004205A1 (de) | Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen | |
EP1615087B1 (de) | Steuer- und Regeleinheit | |
DE102007056218A1 (de) | Verfahren zur Behandlung von transienten Fehlern in Echtzeitsystemen, insbesondere in Steuergeräten von Kraftfahrzeugen | |
DE102014014858A1 (de) | Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum abgesicherten Durchführen einer Funktion | |
DE102013021231A1 (de) | Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät | |
EP2228723B1 (de) | Verfahren zur Fehlerbehandlung eines Rechnersystems | |
DE102016216434A1 (de) | Elektronische Steuereinheit und Computerprogramm | |
DE102008004206A1 (de) | Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug | |
EP1894101A1 (de) | Verfahren und vorrichtung zum überwachen eines unerlaubten speicherzugriffs einer rechenvorrichtung, insbesondere in einem kraftfahrzeug | |
WO2016206847A1 (de) | Verfahren und vorrichtung zum absichern einer programmzählerstruktur eines prozessorsystems und zum überwachen der behandlung einer unterbrechungsanfrage | |
DE102020209228A1 (de) | Verfahren zum Überwachen wenigstens einer Recheneinheit | |
DE102013213402A1 (de) | Mikrocontroller mit mindestens zwei Kernen | |
DE102009001048A1 (de) | Vorrichtung und Verfahren zur Prüfung der Arbeitsweise eines Rechnersystems | |
DE112018002612T5 (de) | Fahrzeugsteuervorrichtung | |
DE102016203852A1 (de) | Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug | |
EP2328304A1 (de) | Schaltungsanordnung und ein Steuergerät für sicherheitsrelevante Funktionen | |
EP2225640A1 (de) | Verfahren zum identifizieren gegenseitiger beeinflussung von softwarekomponenten | |
DE112017000868B4 (de) | Elektronische Steuervorrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed |